Innovazione

Heartbleed: le 5 cose da sapere per proteggersi

Lunedì 7 aprile la Rete ha scoperto l'esistenza di Heartbleed: significa "cuore che sanguina" ed è probabilmente la più seria minaccia ai nostri dati mai comparsa su Internet. Ecco come funziona, chi colpisce e in che modo possiamo proteggere le nostre mail e i nostri social network. E quali password dobbiamo cambiare.

Heartbleed: le 5 cose da sapere per proteggersi
Una elaborazione grafica del logo di Heartbleed

1 - Che cosa è Heartbleed
Heartbleed (cuore che sanguina in inglese) non è un "virus da computer": è un vulnerabilità informatica. In pratica, una falla in una componente chiave dei sistemi che garantiscono la sicurezza delle comunicazioni su Internet.
Quindi, non siamo protetti per il semplice fatto di avere l'antivirus installato.

2 - Quando si è diffuso e quando è stato comunicato
La falla esiste dal dicembre 2011. È stata scoperta e comunicata lunedì 7 aprile da Neel Metha, ingegnere di Google, che ha creato una pagina web con tanto di logo "carino". È la prima volta che si comunica una criticità così grave… creando un sito e un logo.

«Sapremo con esattezza quanto è stato grave l’impatto di Heartbleed soltanto nelle prossime settimane» dice Antonio Forzieri, esperto di sicurezza di Symantec.

3 - Che cosa fa Heartbleed
Colpisce una funzionalità di OpenSSL, un tipo di sistema di cifratura (SSL) delle comunicazioni online usato, si stima, da due terzi dei server del pianeta.
Semplificando all’osso, OpenSSL si preoccupa di codificare quello che “esce” da un computer e viaggia nella rete per raggiungere un altro computer (il nostro o un server): qui, OpenSSL esegue il processo inverso e ci permette di leggere i dati. È un processo che, di solito, noi non percepiamo. Succede, per esempio, ogni volta che vediamo un lucchetto in alto a sinistra nella barra degli indirizzi del browser: significa che un SSL è abilitato.

Come funziona l’attacco

OpenSSL ha una funzionalità chiamata Heartbeat (battito del cuore): serve ai gestori dei server per sapere che tutto sta funzionando a dovere.

In pratica, è come se un computer chiedesse al sistema responsabile “Sei vivo?” ogni tot secondi. E quello risponde “Sì sto bene”.

Solo che Heartbeat può essere ingannato dall’invio di un codice modificato da un hacker: questi gli invia il “Sei vivo?” e heartbeat risponde inviando anche pacchetti di memoria presenti sul server in quel momento. Se si tratta di un server presso il quale ci si autentica (come Gmail o Facebook), quei pacchetti di memoria (64K per volta) possono contenere dati di nomi utente e password. O qualsiasi altra cosa. La falla che genera questo comportamento è stata chiamata Heartbleed per assonanza con Heartbeat e perché significa "sanguinamento del cuore".

4 - Chi ha colpito
Tutti i server che utilizzano OpenSSL, a patto che abbiano il tool "heartbeat" (vedi box qui a fianco) installato e funzionante. Si stima siano i due terzi del totale.

Tra questi ci sono Google, Facebook, Dropbox e Yahoo.

Non sono invece affetti (perché non usano il sistema Open SSL) Microsoft, Amazon, Linkedin e PayPal.

Apple e Twitter non dichiarano quale SSL usano, quindi non è dato sapere se sono affetti o no.

Non sono a rischio neppure i siti di home banking, protetti solitamente da protocolli proprietari.

5 - Che cosa dobbiamo fare noi per essere protetti
Un solo consiglio: è meglio cambiare le password di Google, Facebook e Yahoo, dato che hanno dichiarato di aver corretto la falla. Nel dubbio, è preferibile cambiare anche quelle di Twitter e Apple.

La mail, in particolare, va sempre protetta al massimo: dalla nostra mail si possono ottenere le password per quasi tutte le altre applicazioni, dalla banca ai dati più sensibili. «Cambiare le password è una operazione sempre consigliabile, che andrebbe fatta comunque di tanto in tanto» spiega Antonio Forzieri.

Va fatto, però, nel modo giusto. «Evitando i comportamenti critici: non bisogna scriversi la password da qualche parte, non usare date di nascita o squadre di calcio ed evitare di usare la stessa per tutte le applicazioni» dice Forzieri.

Attenzione, però: «Nel caso specifico di Heartbleed, prima di cambiarla è bene chiedere all’operatore se la falla di OpenSSL è stata corretta: altrimenti il cambiamento è inutile».

E al momento la falla di Heartbleed è stata corretta su questi siti (e dunque va cambiata la password):


Facebook
Tumblr
Google
Yahoo!
Gmail
Yahoo! Mail
Intuit
Dropbox
LastPass
OKCupid
SoundCloud
Wunderlist


Dove non è chiaro se bisogna cambiare la password oppure no:

Twitter
Apple
eBay
Netflix


Dove non bisogna cambiare la password (perché i siti non usano Open SLL):

LinkedIn
Amazon
Microsoft
AOL
Hotmail / Outlook
PayPal

Leggi anche: come creare password imbattibili

10 aprile 2014 Carlo Dagradi
Tag tecnologia - innovazione - virus - informatica - sicurezza - facebook - password - mail - Gmail
Approfondimenti
11 cose da sapere su Ebola
11 FOTO

Salute 11 cose da sapere su Ebola

La storia del logo di Google (e il nuovo logo)
8 FOTO

Digital Life Il nuovo logo di Google (e la sua storia)

10 cose da sapere sui camaleonti
10 FOTO

Animali 10 cose da sapere sui camaleonti

Ultime di Tecnologia
Heirloom - CO2

Innovazione La centrale che risucchia la CO2 dall’aria

Occhiali - Non vedenti

Innovazione Occhiali “smart” per non vedenti

Uccelli, grattacieli

Innovazione I nuovi edifici che evitano lo schianto di uccelli

Codici Sconto

67 Coupon e Nuovi Sconti
Codice Sconto Mediaworld

Codice Sconto Mediaworld

Codice Sconto MediaWorld -150€

Codice Sconto Unieuro

Codice Sconto Unieuro

Coupon Unieuro 10%

Codice Sconto ePRICE

Codice Sconto ePRICE

Codice Sconto ePRICE 15 euro

Coupon HP Store

Coupon HP Store

Esclusivo Coupon HP fino al 7% nel Black Friday

Coupon Huawei

Coupon Huawei

Codice Sconto Huawei Esclusivo 8%

Coupon Comet

Coupon Comet

Codice Sconto Comet 10 euro

Ora in Edicola
Scopri il mondo Focus. Ogni mese in edicola potrai scegliere la rivista che più di appassiona. Focus il magazine di divulgazione scientifica più letto in Italia, Focus Storia per conoscere la storia in modo nuovo ed avvincente e Focus Domande & Risposte per chi ama l'intrattenimento curioso e intelligente.

La smisurata ambizione di Napoleone trasformò l’Europa in un enorme campo di battaglia e fece tremare tutte le monarchie dell’epoca. Per molti era un idolo, per altri un tiranno sanguinario. E oggi la sua figura continua a essere oggetto di dibattito fra storici e intellettuali. E ancora: tra lasciti stravaganti e vendette "postume", i testamenti di alcuni grandi personaggi del passato che fecero litigare gli eredi; le bizzarre toilette con cui l’aristocrazia francese del Settecento si "faceva bella" agli occhi del mondo; nelle scuole residenziali indiane, i collegi-lager dove venivano rinchiusi i bambini nativi americani, per convertirli e "civilizzarli"; Dio, patria e famiglia nelle cartoline natalizie della Grande guerra.

Napoleone: fu vera gloria?
ABBONATI A 29,90€

Il corpo va tenuto in forma, ma le sue esigenze cambiano nel corso della vita. Quale sport è meglio fare con gli anni che passano? E quali sono le regole di alimentazione per uno sportivo? E ancora: il primo modello numerico completo che permette di simulare il nostro cuore; perché i velivoli senza pilota stanno assumendo un ruolo fondamentale in guerra; l’impatto che l'Intelligenza artificiale avrà sull’economia e sulla società; tutto quello che si ottiene avendo pazienza.

Lo sport giusto (età per età)
ABBONATI A 31,90€
ABBONATI A FOCUS MAGAZINE
Follow us